Teste Gratuito Fale conosco

Plano de ZSP: implementação de um PIM de verdade com o Okta Identity Governance

Sobre o autor

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

12 novembro 2025 Tempo de leitura: ~

Tópicos

Okta on Okta

Índice

O desafio: eliminar privilégios permanentes

No cenário de ameaça atual, a presença de contas privilegiadas permanentes — em que os usuários mantêm permissões elevadas 24 horas por dia, 7 dias por semana — é uma vulnerabilidade de segurança crítica. Mesmo com a implantação de uma MFA robusta, essas contas continuam sendo alvos de alto valor. O objetivo do setor é implementar um modelo de privilégio permanente zero (ZSP) robusto e escalável utilizando os recursos nativos do Okta Identity Governance (OIG), que garante que as funções mais sensíveis estejam ativas somente quando explicitamente necessário.

A solução: um modelo de governança de acesso em dois níveis

Essa solução utiliza um modelo de acesso exclusivo em dois níveis dentro do OIG que separa a qualificação a longo prazo da ativação a curto prazo. Além de garantir governança contínua, o modelo também reduz significativamente a superfície de ataque ativa.

Nível 1: qualificação para a função (verificação de longo prazo)

Esse nível determina quem tem permissão para acessar a função privilegiada.

  • Mecanismo: condição de solicitação de acesso (ARC) vinculada a um grupo qualificado (um grupo não usado diretamente para acesso ao aplicativo).
  • Processo de aprovação: requer uma revisão humana rigorosa e em várias etapas, geralmente incluindo a aprovação do gerente direto e do responsável pela função.
  • Governança: a participação está sujeita a revisões de acesso do usuário (UAR) periódicas (por exemplo, a cada 90 dias).
  • Resultado: o usuário obtém o direito permanente de ativar a função, mas ela ainda não foi atribuída no aplicativo de destino.

Nível 2: ativação just-in-time (a elevação diária)

Esse nível proporciona a elevação temporária necessária para realizar uma tarefa.

  • Mecanismo: uma ARC separada, vinculada diretamente ao grupo/função privilegiada final no aplicativo de destino. Essa solicitação só é visível para membros do grupo qualificado de nível 1.
  • Acesso com tempo limitado: o acesso é estritamente limitado (por exemplo, 4, 8 ou 12 horas) e revogado automaticamente pelo OIG.
  • Flexibilidade: a aprovação pode ser personalizada (por exemplo, autoaprovada por meio do relacionamento com o gerente na Okta) ou imposta (por exemplo, aprovação de pares) com base na sensibilidade da função.
  • Resultado: o usuário recebe dinamicamente a função de superadministrador por um período específico, atingindo o ZSP.

Controles de segurança: além dos limites de tempo

Essa solução oferece segurança máxima utilizando os controles complementares da Okta:

  • Contas secundárias (boa prática): as organizações costumam usar contas privilegiadas separadas com políticas de autenticação e sessão altamente rigorosas (por exemplo, exigindo YubiKey, confiança no dispositivo, FIDO2 etc.). Isso garante que as credenciais usadas para ações privilegiadas sejam muito mais seguras do que a conta de uso diário do usuário.
  • Integração com o aplicativo de destino:
    • Para aplicativos que utilizam SAML/OIDC, o aproveitamento das atribuições de grupo é capaz de realmente eliminar o caminho do SSO. O usuário não poderá fazer login até ativar seu acesso JIT por meio do fluxo de trabalho do OIG.
    • Para apps integrados ao SCIM, a ativação aciona o provisionamento JIT e a atribuição de direitos no sistema de destino durante o período definido.

Acesse aqui nosso guia prático, que destaca a metodologia de configuração passo a passo.

Okta como plataforma de PIM: uma perspectiva do futuro

Toda essa estrutura foi construída inteiramente usando os recursos nativos do Okta IGA e do Workflow, demonstrando que a Okta pode funcionar como uma solução de PIM robusta para qualquer aplicativo integrado.

Fique de olho em nosso guia prático complementar, que fornecerá instruções passo a passo para implantar esse modelo de ZSP no seu próprio ambiente da Okta!

 

Acesse mais conteúdo sobre a Okta abaixo:

Como transformar a integração com a segurança da tecnologia sem senha

Nossa jornada de segurança proativa: a adoção do Okta Identity Threat Protection

Como aumentar a segurança: comprovação de identidade para novos funcionários

Acesso rápido: provisionamento em massa com o Okta Workflows

Sobre o autor

Chris Norris

Vice President of Identity Access Management

Chris Norris is the Vice President of Identity Access Management at Okta, where he leads a team dedicated to advocating for the needs of identity practitioners within the company, positioning Okta as its own premier customer. With nearly three decades of experience in IT, Chris has a robust background in identity and security, having worked with several global-scale organizations.

Continue sua jornada de identidade

Inicie o teste gratuito hoje mesmo ou entre em contato com nossa equipe para falar sobre suas necessidades exclusivas.

Começar
Fale conosco